Solvay – Escroquerie par courrier électronique concernant de nouvelles relations commerciales

Le paysage numérique regorge d'opportunités, mais aussi de dangers. Les cybercriminels font évoluer en permanence leurs tactiques, élaborant des stratagèmes sophistiqués qui ciblent aussi bien les entreprises que les particuliers. L'un de ces stratagèmes trompeurs est l'arnaque par e-mail « Solvay - New Business Relationships », une campagne de phishing conçue pour collecter des informations sensibles et des actifs financiers. Comprendre le fonctionnement de cette tactique et reconnaître ses signes avant-coureurs peut empêcher les utilisateurs de devenir victimes d'une fraude.

L’enquête commerciale trompeuse : qu’est-ce que l’arnaque par e-mail de Solvay ?

Cette tactique consiste à envoyer des courriels frauduleux se faisant passer pour la multinationale chimique Solvay SA. Le message présente généralement une demande urgente adressée aux fournisseurs pour qu'ils fournissent des équipements pour les projets en cours. Il comprend des détails apparemment officiels, tels que les codes des produits, les descriptions et une demande de devis, le tout conçu pour donner une impression de légitimité à la demande.

Ces courriels ne proviennent toutefois pas de Solvay SA. Ils sont envoyés par des cybercriminels qui tentent de :

• Collecter des informations personnelles et financières en trompant les destinataires afin qu'ils fournissent des informations sensibles.
• Tromper les entreprises en leur faisant envoyer de l’argent pour des commandes ou des frais inexistants.
• Distribuez des logiciels malveillants via des pièces jointes malveillantes ou des liens de phishing.

Le courriel demande au destinataire de répondre à un faux responsable des achats en utilisant une adresse électronique telle que orders@solvay-tender.com, qui n'est pas associée à Solvay SA. Les escrocs incluent souvent une pièce jointe intitulée « Solvay SA Request For Quotation.pdf » (ou une variante similaire). Ce document reprend le message du courriel et peut contenir d'autres instructions destinées à manipuler le destinataire afin qu'il fournisse des données confidentielles.

Comment cette tactique vous met en danger

1. Vol d'identité et fraude financière : l'un des principaux objectifs de ce type de phishing est d'extraire des informations sensibles de victimes sans méfiance. Les fraudeurs peuvent demander :

• Coordonnées bancaires (y compris les numéros de compte ou les informations de carte de crédit).
• Informations d'identification de l'entreprise (telles que les identifiants des fournisseurs ou du service des achats).
• Documents d'identification personnelle (passeports, permis de conduire, etc.).

Une fois acquises, ces informations peuvent être utilisées à des fins de vol d’identité, de transactions frauduleuses ou de transactions commerciales non autorisées au nom de la victime.

1. Infections par des logiciels malveillants : les cybercriminels utilisent également de faux e-mails professionnels comme passerelle pour la distribution de logiciels malveillants. Si le destinataire ouvre le fichier PDF joint ou suit les liens intégrés dans l'e-mail, il peut télécharger sans le savoir :

• Un logiciel malveillant de type cheval de Troie qui accorde aux pirates un accès non autorisé à leur système.
• Les enregistreurs de frappe, qui enregistrent secrètement les frappes au clavier pour voler les identifiants de connexion.
• Ransomware, qui verrouille les fichiers commerciaux importants jusqu'à ce qu'une rançon soit payée.

Dans certains cas, le logiciel malveillant peut ne pas s’activer immédiatement ; au lieu de cela, il fonctionnera en arrière-plan pour collecter des informations avant d’exécuter sa charge utile finale.

1. Factures falsifiées et fraudes au paiement : même si le destinataire ne fournit pas de données sensibles, les escrocs peuvent recourir à une autre tactique : demander le paiement de faux frais ou de fausses commandes. Ils peuvent prétendre qu'un acompte est requis pour le traitement de la commande ou que des frais supplémentaires doivent être payés pour se conformer à la réglementation.

Une fois que la victime a transféré l’argent, les escrocs disparaissent, laissant la victime avec des pertes financières et aucune transaction légitime à récupérer.

Pourquoi cette tactique est convaincante

Les e-mails de phishing sont devenus de plus en plus sophistiqués. Contrairement aux escroqueries plus anciennes, truffées de fautes d'orthographe et de messages génériques, l'escroquerie par e-mail de Solvay utilise des techniques d'ingénierie sociale pour paraître authentique. Voici ce qui la rend crédible :

• Elle se fait passer pour une entreprise honnête et bien connue : Solvay SA.
• Il utilise un langage commercial réaliste avec un formatage professionnel.
• Il comprend des détails fabriqués mais d’apparence officielle, tels que les codes des produits, les procédures d’approvisionnement et les délais.
• Elle crée un sentiment d’urgence en soulignant que la demande est urgente, ce qui pousse les destinataires à agir sans vérification.

Étant donné que ces escroqueries ciblent les entreprises, elles atteignent souvent les services d’approvisionnement, les équipes de vente ou les dirigeants d’entreprise, des personnes qui traitent régulièrement des demandes réelles de fournisseurs et qui peuvent ne pas reconnaître immédiatement la tromperie.

Comment vous protéger et protéger votre entreprise

• Vérifiez avant de faire confiance : vérifiez toujours l'identité de l'expéditeur avant de répondre à une demande par courrier électronique inattendue. Si vous recevez une demande de renseignements de la part de « Solvay SA », consultez le site Web officiel de l'entreprise et contactez-la directement en utilisant des coordonnées vérifiées.
• Méfiez-vous des demandes urgentes : les fraudeurs comptent sur l’urgence pour faire pression sur leurs victimes et les amener à prendre des décisions hâtives. Prenez le temps d’examiner toutes les demandes d’approvisionnement et de valider leur légitimité auprès des collègues concernés.
• N'ouvrez jamais de pièces jointes ou de liens suspects : si vous recevez une pièce jointe ou un lien provenant d'une source non vérifiée, ne l'ouvrez pas. Passez la souris sur les liens pour inspecter leur destination et analysez les pièces jointes à l'aide d'un logiciel antivirus fiable avant de les ouvrir.
• Confirmer les demandes de paiement : si un e-mail demande le paiement de frais, de factures ou d'acomptes, confirmez-le auprès de votre service financier et des représentants officiels de l'entreprise via un canal de communication distinct et fiable.
• Utilisez les outils de sécurité de messagerie : activez les protections anti-hameçonnage dans votre système de messagerie. De nombreux clients de messagerie modernes peuvent signaler automatiquement les messages suspects, réduisant ainsi le risque d'exposition.
• Signalez et supprimez les e-mails frauduleux : si vous recevez un e-mail suspect, signalez-le à votre service informatique, à votre fournisseur de messagerie ou aux autorités de cybersécurité compétentes. Ensuite, supprimez définitivement l'e-mail pour éviter tout contact accidentel.

Réflexions finales : la sensibilisation est la meilleure défense

L'arnaque par courrier électronique Solvay - New Business Relationships est un parfait exemple de la manière dont les cybercriminels exploitent la confiance et l'urgence pour escroquer les entreprises. En se faisant passer pour des entreprises légitimes et en rédigeant des messages convaincants, ces fraudeurs augmentent leurs chances de réussite.

Cependant, avec une bonne connaissance de la cybersécurité et des habitudes commerciales prudentes, vous pouvez vous protéger, vous et votre organisation, contre de telles escroqueries. Vérifiez toujours avant d'agir, posez des questions sur les demandes commerciales non sollicitées et sensibilisez votre équipe aux menaces en constante évolution qui se cachent dans le monde numérique.